RiffLab Media

Quand l'enveloppe cloud se referme : leçons d'une ETI industrielle qui a choisi de sortir par le haut

Date Published

# Quand l'enveloppe cloud se referme : leçons d'une ETI industrielle qui a choisi de sortir par le haut

Il n'y a pas eu d'incident de sécurité. Pas de fuite de données. Pas de sanction réglementaire. Ce qui a déclenché la réflexion chez cette ETI industrielle de 800 salariés — fabricant de composants mécaniques de précision implanté en France, avec des filiales en Allemagne et en Pologne — c'est quelque chose de plus diffus : la sensation progressive de ne plus maîtriser les conditions dans lesquelles son système d'information fonctionnait. En 2026, ce sentiment est devenu une réalité opérationnelle difficile à ignorer.

La captivité, mode d'emploi

L'entreprise avait migré l'essentiel de sa productivité bureautique et de sa messagerie vers l'offre cloud de l'acteur américain dominant entre 2019 et 2021, dans un contexte où la priorité était la continuité d'activité pendant la période pandémique. La décision avait été pragmatique. Elle n'avait pas été stratégique.

Trois ans plus tard, le DSI de l'entreprise dresse un constat sans ambiguïté lors d'un entretien : *« Nous ne nous sommes pas retrouvés prisonniers parce que le service était mauvais. Nous nous sommes retrouvés prisonniers parce que chaque brique supplémentaire rendait la suivante moins chère à intégrer qu'à évaluer. »*

C'est le mécanisme classique de la captivité par complémentarité : les outils de collaboration, de gestion des identités, de stockage documentaire, de visioconférence et d'automatisation des workflows s'articulent de manière native dans l'écosystème de l'acteur américain. Sortir d'une brique suppose de reconstruire les ponts avec les autres. Le coût de sortie n'est pas tarifaire — il est architectural.

Ce que l'ETI n'avait pas anticipé en 2021, c'est la trajectoire réglementaire européenne qui allait transformer ce confort opérationnel en risque de conformité structurel.

Le réveil réglementaire : NIS2, DORA et la question du Cloud Act

En tant qu'équipementier pour plusieurs donneurs d'ordre du secteur de la défense civile et de l'aéronautique industrielle, l'entreprise entre dans le périmètre d'application de NIS2, transposée en droit français. Elle est également concernée, via ses relations avec des prestataires financiers, par certaines exigences de robustesse opérationnelle proches de l'esprit de DORA — même si ce règlement cible en premier lieu les entités financières régulées.

Mais c'est le Cloud Act américain qui concentre l'essentiel des préoccupations du RSSI. Ce texte de 2018 autorise les autorités américaines à exiger des opérateurs cloud domiciliés aux États-Unis l'accès aux données stockées par leurs services, y compris lorsque ces données sont physiquement hébergées en Europe. Les engagements contractuels pris par l'acteur américain — y compris les clauses de protection des données et les engagements de résidence géographique — ne constituent pas un bouclier juridique opposable à une injonction fédérale américaine. C'est une réalité documentée, confirmée par plusieurs avis de la CNIL et du Comité européen de la protection des données.

Pour le RSSI de l'ETI, la question n'est plus théorique : *« Nous avons des données de R&D sur des pièces fabriquées pour des clients soumis à des restrictions d'export. Si ces données transitent par une infrastructure relevant du droit américain, nous ne pouvons pas garantir qu'elles n'y seront pas accessibles dans un cadre légal que nous ne contrôlons pas. C'est un risque que nos clients commencent à nous demander d'adresser contractuellement. »*

L'enjeu n'est donc pas seulement réglementaire au sens de la conformité formelle. Il est commercial : la souveraineté numérique devient une exigence de qualification fournisseur.

La démarche : progressive, documentée, sans rupture brutale

L'ETI n'a pas cherché à opérer une bascule totale. La DSI a engagé ce que son responsable appelle une *« stratégie de désancrage progressif »*, conduite sur un horizon de dix-huit mois, articulée autour de trois principes.

Premier principe : cartographier la criticité des données avant de cartographier les outils. L'entreprise a commencé par classer ses actifs informationnels selon leur sensibilité réelle — non pas selon leur volume ou leur fréquence d'usage. Les données de conception, les données contractuelles avec les donneurs d'ordre sous clause de confidentialité renforcée, et les données RH ont été identifiées comme prioritaires. Les données de productivité générale — agendas, emails internes sans valeur contractuelle, documents de travail courants — ont été maintenues dans l'écosystème existant dans un premier temps.

Cette granularité évite l'écueil du tout-ou-rien, qui conduit soit à l'immobilisme, soit à des migrations traumatisantes pour les utilisateurs.

**Deuxième principe : qualifier les alternatives sur des critères de conformité vérifiables, pas sur des promesses commerciales.** L'ETI a retenu Infomaniak — opérateur suisse dont les infrastructures et le cadre juridique sont entièrement hors juridiction américaine — pour l'hébergement de sa messagerie sensible et de son stockage documentaire critique. Le choix a été motivé non par un argument marketing, mais par un audit juridique de la chaîne de sous-traitance : aucun composant de l'infrastructure ne relève du Cloud Act.

Le critère de qualification n'était pas *« est-ce européen ? »* mais *« est-ce que la chaîne juridique complète est étanche à une injonction américaine ? »* — ce qui est plus exigeant et plus opérationnel.

Troisième principe : maintenir une coexistence temporaire assumée, sans honte. Pendant la période de transition, l'ETI opère en mode bimodal : l'écosystème de l'acteur américain reste actif pour les usages non sensibles, tandis que les flux critiques sont progressivement reroutés. Cette coexistence génère de la complexité opérationnelle — deux annuaires, deux expériences utilisateur, des passerelles à maintenir. La DSI l'assume comme un coût de transition inévitable, préférable au risque de maintenir l'intégralité des données dans un cadre juridiquement incontrôlable.

Ce que cette démarche révèle sur les angles morts collectifs

L'expérience de cette ETI pointe plusieurs angles morts que les DSI européens gagneraient à examiner dans leur propre contexte.

Le premier est l'illusion de la résidence géographique. Beaucoup d'entreprises se sont rassurées en activant des options d'hébergement *« en Europe »* proposées par les acteurs américains. Ces options réduisent certains risques opérationnels (latence, RGPD sur les transferts de données courantes), mais elles ne résolvent pas la question du Cloud Act. La donnée peut être stockée à Francfort ou à Dublin, elle reste accessible en droit américain si l'opérateur est une entité US. C'est une confusion fréquente, et coûteuse à corriger après coup.

Le deuxième est la dépendance aux fonctions d'identité et d'authentification. Dans beaucoup de SI d'ETI ayant suivi le même chemin, l'annuaire et le système de gestion des identités sont également hébergés chez l'acteur américain dominant. Or, migrer les données applicatives sans migrer la couche identité revient à déplacer les meubles sans changer la serrure. L'ETI étudiée a identifié ce point tardivement et en a fait une priorité de la deuxième phase de son plan.

Le troisième est l'absence de clause souveraineté dans les contrats clients. Plusieurs donneurs d'ordre de l'ETI ont commencé à intégrer dans leurs appels d'offres des exigences explicites sur la localisation et la juridiction des données de leurs fournisseurs. Cette tendance, encore marginale en 2024, s'est accélérée. Ne pas avoir de réponse documentée à cette question est désormais un risque commercial, pas seulement un risque de conformité.

Conclusions transférables

Aucune de ces conclusions n'est spectaculaire. Elles sont méthodiques.

La captivité cloud ne se résout pas par une décision politique interne ni par un discours de souveraineté. Elle se résout par une cartographie rigoureuse des risques réels, une qualification juridique sérieuse des alternatives, et une acceptation lucide que la transition a un coût de complexité temporaire qui doit être budgété — pas minimisé dans les slides de présentation au COMEX.

Ce que cette ETI a engagé, c'est moins une migration qu'une reprise de maîtrise progressive. En 2026, dans un environnement où les régulations européennes s'appliquent avec davantage de rigueur et où les tensions géopolitiques rendent l'extraterritorialité américaine moins abstraite, cette reprise de maîtrise est devenue une compétence de gestion du risque à part entière — au même titre que la cybersécurité technique ou la continuité d'activité.

Les DSI qui attendent un déclencheur extérieur — un incident, une sanction, une pression client brutale — pour engager cette réflexion prennent le risque de la conduire dans l'urgence. Ce n'est pas dans l'urgence qu'on négocie bien les transitions d'architecture.

Cet article vous a été utile ?

Recevez chaque vendredi nos analyses sur les alternatives souveraines SaaS. Pas de spam.

Pas de spam. Désinscription en un clic. Données hébergées en Europe.